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(57) Abstract: The invention concerns a method which sets up a se- 
cure transmission between two entities in a telecommunication net- 
work, and particularly between a mobile terminal (MS) and the sta- 
tionary network, in particular visitor locating and home location reg- 
isters (VLR, HLR) and an authenticating centre (AUC), in a cellu- 
lar radiotelephone network. During authentication (E9, E9', E10) 
of a terminal, and more precisely of the SIM card therein, the data 
DATA are transmitted by the stationary network with a random num- 
ber (NA) produced by the stationary network. The data DATA, the 
random number NA and a key (Ki) are applied in the first and second 
entities to an algorithm (AA) to proceed with authentication. 

(57) Abrege : Le procede etablit un canal de transmission securise 
entre deux entites dans un reseau de telecommunication, et 
particulierement entre un terminal mobile (MS) et le reseau fixe, 
notamment des enregistreurs de localisation des visiteurs et nominal 
(VLR, HLR) et un centre d'authentification (AUC), dans un reseau 
de radio telephonie cellulaire. Au cours de l'authentification (E9, 
E9', E10) du terminal, et plus precisement de la carte SIM dans 
celui-ci, les donnees DATA sont trans mi ses par le reseau fixe avec 
un nombre aleatoire (NA) produit par le reseau fixe. Les donnees 
DATA, le nombre aleatoire NA et une cle (Ki) sont appliques 
dans les premiere et deuxieme entites a un algorithme (AA) pour 
proceder a l'authentification. 



E0...STORE IM5I/TMSI,K.I,AA,AC 

E l ...REQUEST IMSI,TMSI,LAI DEDICATED CHANNEL 

E2... SELECT NA (Q BITS) 

E3... REQUEST AUTHENTICATION 

E4...STORE NY, DATA 

E5...READ 
E60...STORE RSRES 
E20...STORE NA, DATA 



E61...READ 
E9...READ 

E11 ...MESSAGE ENCRYPTION/DECRYPTION 
E71 ...DISCONNECT 
E81... STORE KC 
E9...READ 

E1 1 '...MESSAGE ENCRYTION/DECRYPTION 
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Procede de communication securisee entre un reseau et 
une carte a puce d'un terminal 

La present e invention concerne un procede de 
5 communication securisee entre une carte a puce d'un 
terminal radiotelephonique mobile MS et un sous- 
systeme d 1 acheminement , appele souvent reseau fixe, 
dans un reseau de radiotelephonie cellulaire 
numerique . Plus particulierement , 1 1 invention 
10 instaure un canal de communication securise a travers 
1 ' interface radio entre une carte ou module a 
microprocesseur , dite carte a puce SIM (Subscriber 
Identify Module) , amovible du terminal, et un centre 
d 1 authentif ication du reseau de radiotelephonie. 

15 

Un reseau de radiotelephonie cellulaire 
numerique RR de type GSM, auquel reference sera faite 
dans la suite a titre d'exemple, comprend 
principalement plusieurs terminaux radiotelephoniques 
20 mobiles MS et un reseau fixe proprement dit ou 
circule notamment des messages de signalisation, de 
controle, de donnees et de voix comme montre 
schematiquement a la figure 1. 

25 Dans le reseau RR montre a la figure 1 sont 

representees notamment des entites principales a 
travers lesquelles des donnees destinees a la carte 
SIM d'un terminal mobile MS situe dans une zone de 
localisation a un instant transitent . Ces entites 

30 sont un commutateur du service mobile MSC relie a au 
moins un commutateur telephonique a autonomie 
d 1 acheminement CAA du reseau telephonique commute RTC 
et gerant des communications pour des terminaux 
mobiles visiteurs, parmi lesquels le terminal MS, qui 

35 se trouvent a un instant donne dans la zone de 
localisation respective desservie par le commutateur 
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MSC. Un enregistreur de localisation des visiteurs 
VLR est relie au commutateur MSC et contient des 
, caracteristiques, telles qu'identite et profil 
d 1 abonnement des terminaux mobiles, en fait des 
5 cartes SIM dans ceux-ci, situes dans la zone de 
localisation. Un controleur de station de base BSC 
relie au commutateur MSC gere notamment 1' allocation 
de canaux a des terminaux mobiles,- la puissance de 
station (s) de base et des transferts intercellulaires 
10 de terminaux mobiles. Une station de base BTS reliee 
au controleur BSC couvre la cellule radioelectrique 
ou le terminal MS se trouve a 1 1 instant donne . 

Le reseau de radiotelephonie RR comprend encore 
15 - un enregistreur de localisation nominal HLR cooperant 
avec un centre d 1 authentif ication AUC et relie aux 
commutateurs du service mobile a travers le reseau de 
_ signalisation du reseau de radiotelephonie RR. 
■ L 1 enregistreur HLR est essentiellement une base de 
20 donnees, comme un enregistreur VLR, qui contient pour 
chaque terminal MS l'identite internationale IMSI 
(International Mobile Subscriber Identity) de la 
carte SIM du terminal, c'est-a-dire de 1 ' abonne 
possesseur de la carte SIM, le numero d'annuaire et 
25 le profil d' abonnement de 1' abonne, et le numero de 
1 ■ enregistreur VLR auquel est rattache le terminal 
mobile et mis a jour lors de transferts entre zones 
de localisation. 

30 Le centre d 1 authentif ication AUC assure 

1 1 authentif ication des abonnes et participe a la 
conf identialite des donnees transitant dans 
1 1 interface radio IR entre le terminal MS et la 
station de base BTS auquel il est rattache a 

35 1 ' instant donne. II gere un algorithme 

d ' authentif ication A3 et un algorithme A8 de 
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determination de cle du chiffrement, parfois 
fusionnes en un seul algorithme A38, selon la norme 
GSM, qui sont redondants dans la carte SIM du 
terminal mobile MS, prealablement a toute 
5 communication avec le terminal, ou bien lors de la 
mise en f onctionnement du terminal ou lors d'un 
transfert intercellulaire . En particulier, le centre 
d 1 authentif ication AUC memorise une cle 

d 1 authentif ication Ki attribuee uniquement a 1 1 abonne 
10 en correspondance avec l'identite IMSI de 1 ' abonne 
memorisee dans 1 ' enregistreur de localisation nominal 
HLR lors de la sduscription d ' abonnement par 
1 1 abonne . 

15 Dans un reseau de radiotelephonie numerique 

de type GSM, represents a la Figure 1, il est tres 
important d 1 authentif ier le terminal 

. „ radiotelephonique mobile MS pour, entre autre, 
pouvoir- reconnaitre 1' abonne. Afin d' assurer une 

20 flexibility maximale, le centre d 1 authentif ication 
n ' authentif ie pas le terminal mobile MS lui-meme mais 
la carte a puce SIM qu'il contient. Cette carte 
contient la cle Ki attribuee a 1 ' abonne et prouve au 
moyen de 1' algorithme d ' authentif ication A3 qu ! elle 

25 connait la cle sans la reveler. Le reseau fixe envoie 
un nombre aleatoire RAND (challenge) a la carte et 
demande a la carte d'entrer le nombre aleatoire et la 
cle dans 1' algorithme d 1 authentif ication pour un 
calcul cryptographique et de lui retourner le 

3 0 resultat sous la forme d'une reponse signee SRES 
(Signed RESponse) pour la norme GSM. II est tres 
difficile a un "attaquant " , une tierce personne 
malveillante souhaitant etablir des communications 
radiotelephoniques debitees sur le compte du 

35 proprietaire de la carte SIM, de prevoir la valeur du 
nombre aleatoire. Sans la connaissance de la cle, 
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l'attaquant ne peut pas contrefaire une reponse. La 
taille du noinbre aleatoire empeche l'attaquant de 
garder en memo ire toutes les valeurs du couple nombre 
aleatoire-reponse signee dans un dictionnaire . La 
5 procedure d 1 authentif ication dans le reseau de 
radiotelephonie authentifie ainsi la carte SIM 
contenant une cle . 

. La procedure d f authentif ication, representee a 
io la figure 2, comprend brievement les etapes 
suivantes : 

prealablement , le centre d 1 authentif ication 
AUC choisit plusieurs nombres aleatoires RAND et 

15 determine d'une part plusieurs reponses de signature 
RSRES respect ivement en fonction des nombres choisis 
RAND et de la cle Ki attribuee a 1 1 abonne appliques a 
_ l'algorithme d * authentif ication A3, et d' autre part 
plusieurs cles de chiffrement respect ivement en 

20 fonction des nombres choisis RAND et de la cle Ki 
appliques a l'algorithme de determination de cle A8, 
afin de fournir des triplets [nombre aleatoire RAND, 
reponse de signature SRES, cle de chiffrement Kc] a 
1 i enregistreur de localisation HLR, des la 

25 souscription d'abonnement au service de 

radiotelephonie mobile, puis chaque fois que 
1 1 enregistreur HLR a epuise sa reserve de triplets, 
en correspondance avec l'identite IMSI de la carte 
SIM de 1' abonne ; 

30 

- chaque fois que 1 1 enregistreur de localisation 
des visiteurs VLR auquel est rattachee momentanement 
la carte SIM demande une authentif ication de la 
carte, 1 1 enregistreur HLR choisit et fournit au moins 
35 un triplet a 1 1 enregistreur VLR afin de transmettre 
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le nombre aleatoire du triplet choisi a la carte SIM 
a travers le reseau fixe et le terminal mobile MS ; 

la carte SIM effectue un calcul 
5 cryptograph! que en appliquant le nombre aleatoire 
transmis et la cle Ki a 1 1 algorithme 
d 1 authentif ication A3 produisant la reponse signee 
SRES et la retourne a 1 1 enregistreur VLR ; 

10 - 1 ' enregistreur VLR compare la reponse signee 

SRES a celle contenue dans le triplet choisi, et en 
cas d'egalite des reponses, la' carte est 
authentif iee . 

15 Les reseaux de telephonie cellulaire numerique 

existants de type GSM ne disposent pas d'un canal de 
transmission de donnees securise assurant la 
confidentiality et 1'integrite des donnees transmises 
tout en assurant simultanement 1 ' impossibilite de 

20 denis de service. 

En effet, des services d' envoi de message SMS 
(Short Message Services) ont ete definis, mais ils ne 
procurent aucune certitude quant a la reception des 
25 donnees, et ne garantissent done pas 1 ' impossibilite 
d'un denis de service. 

Or dans de nombreux cas, il est necessaire de 
pouvoir transmettre des donnees DATA en assurant leur 
30 integrite, leur conf identialite et 1 ' impossibilite 
d'un denis de service, la plupart du temps pour des 
raisons de securite. 

L ' invention vise a remedier aux inconvenients 
35 exposes ci-dessus, sans modifier le materiel du 
reseau de radiotelephonie et avec quelques 
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modifications de logiciel en relation essentiellement 
avec 1 1 authentif ication. 

A cette fin, un procede de transmission 
5 securisee de donnees (DATA) entre* une premiere entite 
(MS) et une deuxieme entite (VLR, HLR, AUG) dans un 
reseau de telecommunication (RR) , comprenant une 
etape d' authentif ication de la premiere entite (MS) 
par la seconde entite (VLR, HLR, AUC) , ladite etape 

10 d' authentif ication comprenant des etapes (E6, E6 ' ) 
d'appliquer une cle (Ki) memorisee dans les premiere 
et deuxieme entites et un nombre aleatoire (NA) 
produit par la deuxieme entite et transmis par la 
deuxieme entite a la premiere entite a des 

15 algorithmes identiques (AA) memorises dans les 
premiere et deuxieme entites, et comparer (E7) dans 
la deuxieme entite (VLR, HLR, AUC) une reponse (SRES) 
_ produite par l'algorithme (AA) memorise dans la 
premiere entite et transmise a la deuxieme entite et 

20 un result at de reponse (RSRES) produit par 
l'algorithme (AA) memorise dans la deuxieme entite, 
est caracterise par les etapes de transmettre de la 
deuxieme entite a la premiere entite les donnees 
(DATA) avec le nombre aleatoire (NA) , appliquer les 

25 donnees (DATA) avec le nombre aleatoire (NA) a 
l'algorithme (AA) dans la premiere entite et dans la 
seconde entite. 

Lorsque 1 ' authentif ication est terminee, le 
30 reseau RR est certain que les donnees DATA sont bien 
parvenues a la carte SIM . du terminal MS. La validite 
de la reponse SRES fournie par la carte au reseau 
atteste que l'integrite du nombre aleatoire NA et des 
donnees DATA a ete preservee, et empeche tout denis 
35 de service. La conf identialite est assuree par 
1 ' association des donnees DATA au nombre aleatoire 
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NA, ce qui rend leur localisation difficile. 
L ' invention permet done de resoudre les problemes 
soul eves precedemment en n'impliquant qu'une 
modification du logiciel des cartes SIM, les 
5 premieres entites, et des enregistreurs nominaux et 
centres d 1 authentif ication, compris dans les 
deuxiemes entites, sans avoir aucun impact sur 
1 1 infrastructure du reseau. Ces modifications peuvent 
etre effectuees de maniere graduelle sans 
10 bouleversement du reseau fixe. 

Dans le procede, le nombre aleatoire (NA) et les 
donnees (DATA) peuvent respectivement avoir Q bits et 
P-Q bit.s de longueur, P etant un entier constant. 

15 

Le procede peut comprendre une etape de 
chif f rement des donnees (DATA) ou du couple forme par 
_ le nombre aleatoire (NA) et les donnees (DATA) . Dans 
ce cas, la confidentiality des donnees DATA est 
20 accrue, ainsi que la resistance du systeme a des 
attaques de cryptanalyse . 

Dans le procede, un moyen d 1 authentif ication et 
d Venregist rement d'identite de terminal (VLR, HLR, 
25 AUC) peut determiner plusieurs triplets comprenant 
chacun un nombre aleatoire (NA) les donnees (DATA) et 
un resultat de reponse (RSRES) correspondant au 
nombre aleatoire (NA) et aux donnees (DATA) . 

3 0 Le procede peut comprendre une etape de 

determiner (E8) une cle de chif f rement (Kc) en 
fonction du nombre aleatoire (NA) , des donnees (DATA) 
et de la cle (Ki) dans la seconde entite (VLR, HLR, 
AUC) . 

35 
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Le procede peut egalement comprencire une etape 
de ne determiner (E10) une cle de chiffrement (Kc) en 
fonction du nombre aleatoire (NA) , des donnees (DATA) 
et de la cle (Ki) dans -la premiere entite (MS) que 
5 lorsque la reponse (SRES) et le resultat de reponse 
(RSRES) compares sont identiques. 

Enfin, dans le procede, les donnees (DATA) 
peuvent etre utilisees dans la premiere entite (MS) 

10 par une application de gestion de compte prepaye, 
pour mettre a jour des droits d'acces a des fichiers 
(DF, EF) memorises dans la premiere entite ou par une 
application pour activer une cle additionnelle (Ki 7 )/ 
dans le cas ou une ou plusieurs cles additionnelles 

15 Ki' ont ete memorisees dans les premiere et deux i ernes 
entites . 

L 7 invention concerne egalement un module 
d'identite (SIM) dans une premiere entite (MS) qui 

20 est caracterise en ce qu'il comprend des moyens (ROM, 
EE PROM) pour memoriser un algorithme (AA) et une cle 
(Ki) , des moyens pour recevoir un nombre aleatoire 
(NA) et des donnees (DATA) et des moyens (ROM, 
EE PROM, RAM) pour executer au moins 1 ' etape (E6) 

25 d'appliquer la cle (Ki) le nombre aleatoire (NA) et ' 
les donnees (DATA) a 1' algorithme (AA) conformement a 
1 7 invention. 

Enfin 1 7 invention concerne aussi un centre 
30 d 7 authentif ication (AUC) dans un reseau de 
telecommunication (RR) qui est caracterise en ce 
qu 1 il comprend des moyens pour memoriser un 
algorithme (AA) et une cle (Ki) , des moyens pour 
selectionner un nombre aleatoire (NA) et des donnees 
35 (DATA) et des moyens pour executer au moins 1 7 etape 

(E6 7 ) d'appliquer la cle (Ki) le nombre aleatoire 
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(NA) et les donnees (DATA) a l'algorithme (AA) 
conforme merit a 1 ' invention . 

D'autres caracteristiques et avantages de la 
5 presente invention apparaitront plus clairement a la 
lecture de la description suivante de plusieurs 
realisations preferees de l 1 invention en reference 
aux dessins annexes correspondants dans lesquels : 

10 - la figure 1 est un bloc-diagramme schematique 

d'un reseau de radiotelephonie cellulaire numerique ; 

- la . figure 2 montre schematiquement des etapes 
d'un procede d 1 authentif ication d'un reseau de 
15 radiotelephonie cellulaire numerique ; et 

la figure - 3 montre des etapes d'une 
_ transmission securisee de donnees selon l 1 invention ; 



20 Le procede de 1 1 invention est decrit ci-aprds 

dans le cadre du reseau de radiotelephonie RR de type 
GSM, deja presente en reference a la figure 1, qui ne 
subit que des modifications et adjonctions de 
logiciel essentiellement dans le centre 

25 d 1 authentif ication AUC, ainsi que dans les cartes SIM 
des terminaux mobiles. 

Dans la description ci-apres, un reseau fixe est 
considere comme la chaine d ! entites rattachees au 
30 terminal radiotelephonique mobile considere MS depuis 
1 1 interface radio IR, comprenant la station de base 
BTS, le controleur de station BSC , le commutateur MSC 
avec 1 ' enregistreur de localisation des visiteurs 
VLR, et le couple HLR-AUC. 



35 
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II est rappele qu'un terminal radiotelephonique 
mobile MS d'un abonne comprend un module a 
microprocesseur amovible, dite carte a puce SIM 
reliee a un bus du circuit numerique a 
5 microprocesseur dans le terminal, le bus desservant 
le clavier, 1 ' ecran et des prises de peripherique du 
terminal mobile. Comme montre a la figure 1, la carte 
a ' puce SIM contient principalement un 

microprocesseur, une memoire ROM incluant le systeme 

10 d ' exploitation de la carte et des algorithmes 
d 1 application specif iques, une memoire non volatile 
EE PROM qui contient toutes les caracteristiques liees 
a 1' abonne telles que l'identite IMSI, le profil 
d ' abonnement , la liste de numeros d'appeles avec 

is leurs noms, des donnees de securite tels que cle et 
code conf identiel , etc., et une memoire RAM servant 
au traitement des donnees a recevoir du et a 
transmettre vers le circuit numerique du terminal . En 
particulier, les algorithmes d 1 authentif ication et de 

20 determination de cle de chiffrement et les cles et 
autres parametres lies a ces algorithmes sont geres 
et ecrits dans les memoires ROM et EEPROM. 

En reference a la figure 2, le procede de 
25 transmission d' information securise selon l 1 invention 
- succede a une mise en communication de la carte SIM 
du terminal radiotelephonique MS avec le sous-reseau 
BTS, BSC, MSC et VLR inclus dans le reseau de 
radiotelephonie RR et rattache temporairement au 
30 terminal radiotelephonique MS, et precede une 
determination de cle de chiffrement. 

Le procede montre a la figure 2 comprend 
essentiellement des etapes de E0 a Ell. Dans la 
35 figure 2, les etapes E0, E2 , E6 ' , E60, E20, E8 et E81 
sont effectuees essentiellement dans le reseau fixe, 
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independamment de toute demande d ' authentif ication, 
.et au moins prealablement a la demande de 
1 ' authentif ication consideree a l'etape E3 selon la 
realisation illustree . 

Initialement , a une etape E0, le terminal mobile 
est considere avoir memorise dans les memo ires ROM et 
EEPROM de sa carte SIM, I'identite IMSI de celle-ci, 
c'est-a-dire I'identite de 1 ' abonne possesseur de la 

10 carte SIM, le cas echeant I'identite temporaire TMSI • 
de la carte attribute par le commutateur de 
rattachement MSC, une cle d ■ authentif ication Ki avec 
un algorithme d ■ authentif ication AA pour authentif ier 
le terminal MS par le reseau, un algorithme de 

15 determination de cle de chiffrement AC, un algorithme 
de chif frement/ de chiffrement . Ces donnees initiales 
et algorithmes sont egalement memorises a l'etape 
initiale E0 dans le reseau fixe. Les cles Ki pour 
chaque abonne sont memorisees dans le centre 

20 d ! authentif ication AUC en correspondance avec 
I'identite d ! abonne IMSI, I'identite temporaire 
n'etant attribuee que par 1 ' enregistreur de 
localisation des visiteurs VLR relie au commutateur 
du service mobile MSC auquel est rattache le terminal 

25 mobile MS. L' algorithme d ' authentif ication AA et 
1' algorithme de determination de cle de chiffrement 
AC sont memorises dans le centre d ' authentif ication 
AUC, et 1' algorithme de chif f rement/dechif frement est 
installe dans la station de base BTS . Comme on le 

30 verra dans la suite, le centre d ■ authentif ication AUC 
fournit des triplets [ (NA, DATA), RSRES , Kc] a 
1 1 enregistreur de localisation nominal HLR. 

Lors d'une demande d'acces au service mobile par 
35 le terminal, par exemple apres la mise en 
f onctionnement du terminal mobile MS, ou pour une 
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mise a jour de la localisation du terminal/ ou 
prealablement a une communication telephonique , ou 
periodiquement pour authentifier la carte SIM a la 
demande de 1 ■ enregistreur VLR, le terminal MS echange 
5 des signaux avec le sous-reseau de rattachement de 
maniere a dedier au terminal MS un canal de 
communication et a declarer par le terminal MS au 
sous-reseau l 1 identite de terminal en transmettant 
1 ! identite IMSI de la carte SIM du terminal a 

10 1 1 enregistreur de localisation des visiteurs VLR, ou 
le cas echeant 1 ' identite temporaire TMSI avec 
1' identite de la zone de localisation LAI relatives a 
la derniere communication etablie. Ces echanges pour 
dedier un canal au terminal MS sont illustres d'une 

15 maniere simplifiee par l'etape SI dans la figure 2. 

Prealablement, dans le centre AUC, un generateur 
pseudo-aleatoire fournit plusieurs nombres aleatoires 
NA a Q bits. Les donnees DATA a transmettre de fagon 

20 securisee selon le procede de 1' invention sont 
combinees avec chaque nombre aleatoire NA a Q bits et 
les couples (NA, DATA) resultats de cette combinaison 
sont ecrits dans 1 1 enregistreur HLR en association 
avec 1' identite IMSI de la carte SIM, et au moins un 

25 couple (NA, DATA) choisi par 1 ■ enregistreur HLR est 
transmis a 1 1 enregistreur VLR auquel est rattache le 
terminal a l ! etape E2 0. 

Les donnees DATA sont transmises a la carte SIM 
30 selon le procede de 1 ' invention lorsque 
1 ' enregistreur de localisation des visiteurs VLR 
decide de proceder a 1 ' authentif ication de la carte 
SIM par le reseau fixe: le couple choisi (NA, DATA) 
est introduit successivement dans des messages de 
35 demande d 1 authentif ication a l'etape E3 transmis 
respectivement par le commutateur MSC, le controleur 
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BSC et enfin la station de base BTS vers le terminal 
mobile MS a travers 1 ' interface radio IR. 

Si les couples (NA, DATA) font P bits de 
5 longueur, l'entier P, avec P>Q, pourra etre choisi de 
maniere a ne pas modifier la longueur des messages 
d 1 authentif ication selon la norme en vigueur dans le 
reseau de radiotelephonie RR, en - 1 ' occurrence la 
longueur des messages contenant un nombre RAND . Dans 

10 ce cas les modifications apportees au reseau RR et 
aux cartes SIM seront encore reduites . L'entier P est 
typiquement egal a 128, soit une taille du couple 
(NA, DATA) egale a 16 octets. L'entier Q denotant le 
nombre de bits dans le nombre aleatoire NA peut etre 

15 superieur ou inferieur a P/2 ; toutefois les entiers 
P et Q peuvent satisfaire l'egalite P/2 = Q. 

Dans la carte SIM du terminal mobile MS, le 
. nombre aleatoire NA et les donnees DATA sont ecrits 
20 en me moire RAM de la carte SIM a 1'etape E4 en 
reponse aux messages de demande d ' authentif ication 
transmis par la station de base de rattachement BTS. 

A cet instant la carte SIM a regu les donnees 
25 DATA et peut les utiliser dans une application 
particuliere dont plusieurs exemples seront fournis 
par la suite. 

Le nombre aleatoire NA et les donnees DATA regus 
30 et la cle d 1 authentif ication Ki sont lus a 1'etape E5 
afin de les appliquer a 1 ' algorithme 

d 1 authentif ication connu AA a 1'etape E6 . A ce stade, 
1 1 authentif ication se poursuit sensiblement comme 
dans une carte SIM connue . L' algorithme AA fournit 
35 une reponse signee SRES (Signed RESponse) qui est 
incluse dans un message transmis a la station de base 
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de rattachement BTS, laquelle la retransmet a 
1 ' enregistreur VLR a travers la station de base BTS, 
le controleur BCS et le commutateur MSC. 

5 Au prealable, avant la demande 

d' authentif ication E3 et done avant la realisation 
des etapes E4 a E6 dans la carte SIM, les 
enregistreurs VLR et HLR ont memorise pour 1 ' abonne 
le nombre NA et les donnees DATA, et le centre 

10 d 1 authentif ication AUC a applique, apres 1 1 etape E2 0, 
et pour chacun desdits nombres aleatoires NA, le 
couple (NA, DATA) et la cle Ki a l ! algorithme AA a 
une etape E6 1 . L'algorithme AA produit un resultat de 
reponse signee RSRES pour chaque couple (NA, DATA) . 

15 Concomitamment avec 1 ' etape E20, les resultats RSRES 
sont ecrits dans 1 ' enregistreur HLR a une etape E60 
et le couple (NA, DATA) choisi par 1 'enregistreur est 
_ transmis avec le resultat correspondant RSRES a 
1 1 enregistreur VLR qui les a memorises. 

20 

A reception de la reponse signee SRES transmise 
par le terminal mobile MS apres 1' etape E6, 
1 ' enregistreur VLR lit le resultat de reponse signee 
RSRES a 1 1 etape E61 et le compare a la reponse regue 

25 SRES a l 1 etape E7 . Si ces deux variables ne sont pas 
identiques, 1 'enregistreur VLR commande au 
commutateur de rattachement MSC de deconnecter le 
terminal et le reseau fixe a 1 ! etape E71, empechant 
le terminal de poursuivre sa demande- d'acces au 

30 service mobile. 

Dans le cas contraire, le centre 

d' authentif ication AUC valide 1 1 authentif ication de 
la carte SIM a 1' etape E7, pour autoriser le 
35 chiffrement et le dechif f rement des messages echanges 
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ulterieurement entre le terminal mobile MS et le 
sous-reseau BTS-BSC-MSC. 

A cet instant, le centre d' authentif ication AUC 
5 a non seulement authentif ie la carte SIM, mais il a 
egalement la preuve que celle-ci a bien regu les 
donnees DATA. 

L' association des donnees DATA au nombre 
10 aleatoire NA peut avoir comme consequence une 
relative diminution de _la resistance du couple (NA, 
DATA) aux attaques de cryptanalyse par rapport a un 
nombre aleatoire de meme dimension. Dans le but 
d'attenuer cet effet, un chiffrement des donnees DATA 
15 ou du couple (NA, DATA) peut etre effectue par le 
centre d' authentif ication AUC avant leur transmission 
vers la carte SIM. Une telle etape de chiffrement 
aura egalement comme consequence d'ameliorer 
notablement la confidentiality des donnees DATA 
20 transmises. 

La reponse signee SRES que la carte SIM envoie 
au reseau pour s ' authentif ier est generalement 
beaucoup plus courte que le nombre aleatoire RAND ou 

25 le couple (NA, DATA) transmis par le reseau a la 
carte SIM. Neanmoins, des donnees peuvent egalement 
etre associees a la reponse signee SRES ou inserees 
dans celle-ci, de fagon a permettre a la carte SIM de 
communiquer des informations au reseau RR. Meme si la 

30 quantite d' informations transmises est tres limitee, 
elle suffit a signaler au reseau un comportement 
revelateur de f raudes . 

Une fois les donnees DATA regues par la carte 
35 SIM et 1 ' authentif ication de la carte SIM verifiee 
par le centre d r authentif ication AUC, une cle de 
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chiffrement Kc peut alors etre determinee : au 
prealable, le centre d 1 authentif ication AUC a 
applique les couples (MA, DATA) correspondant auxdits 
plusieurs nombres aleatoires NC et la cle Ki a 
5 1 r algorithme de determination de cle de chiffrement 
AG a une etape E8 afin de produire des cles de 
chiffrement Kc, qui sont memorisees dans 
1 1 enregistreur VLR a une etape E81 concomitante aux 
etapes E20 et E60. Ainsi, plusieurs triplets [ (NA, 
10 DATA) , RSRES, Kc] sont memorises prealablement dans 
1 1 enregistreur de localisation nominal HRL, et au 
moins l'un d'eux choisi est eqrit dans 1 1 enregistreur 
VLR en association avec 1 1 identite IMSI/TMSI de la 
carte SIM. 

15 

A la suite de 1 1 etape E7, le commutateur MSC 
decide de passer en mode chiffre en transmettant un 
message d ' autorisation de chiffrement avec la cle Kc, 
relaye par les entites BSC et BTS, vers le terminal 
20 mobile MS, la cle Kc etant prelevee par la station de 
base BTS , 

Par ailleurs, a la suite de 1' execution de 
1' etape d 1 authentif ication E6, la carte SIM lit a 
.25 l f etape E9 le couple nombre aleatoire NA et donnee 
DATA et egalement la cle d 1 authentif ication Ki afin 
de les appliquer a 1' algorithme de chiffrement AC 
pour determiner une cle de chiffrement Kc a 1 ' etape 
E10 . 

30 

Finalement a des etapes Ell et Ell', le terminal 
MS et le sous-reseau de rattachement , 
particulierement la station de base de rattachement 
BTS qui contient un algorithme de chiffrement et 
35 dechif f rement identique a celui contenu dans la carte 
SIM et qui a memorise la cle determinee Kc, peuvent 
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echanger des messages chiffres et dechiffres avec la 
cle Kc . 

Premier exemple de mise en oeuvre du procede selon 
s 1' invention: securisation de reseaux de radio- 
telecommunication fonctionnant en mode prepaye 

Certains reseaux de telecommunication utilisent 
le mode de f onctionnement prepaye suivant : chaque 

10 fois que 1 ' utilisateur du terminal mobile MS desire 
approvisionner son compte il se rend S. un terminal de 
paiement effectue une transaction pour une certaine 
valeur. Une fois la transaction validee par un 
service bancaire, le reseau RR envoie a la carte SIM 

15 des informations dans le but de mettre a jour dans la 
carte un compteur ACM (Accumulated Card Meter) et la 
valeur " maximal e ACMmax que ce compteur peut 
atteindre, au moyen d'un message SMS. Ensuite lors de 
chaque communication, le reseau RR envoie au terminal 

20 mobile MS une information de tarification CAI (Charge 
Advice Information) , que le terminal MS utilise pour 
envoyer a la carte SIM des commande d' incrementation 
du compteur ACM. Grace a des echanges avec la carte 
SIM, le terminal MS verifie regulierement que le 

25 compteur ACM ne depasse pas sa valeur maximale 
permise ACMmax. 

Malheureusement , comme les echanges entre le 
terminal mobile MS et la carte SIM ne sont pas 
30 securises, un tel systeme est assez facile a pirater. 

Grace au procede de transmission securisee de 
donnees selon 1' invention, il devient possible de- 
transmettre a la carte SIM, de fagon securisee, des 
35 informations de debut et de fin de communication 
et/ou des donnees d' estimation de la frequence des 
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augmentations du compteur ACM. La carte SIM est alors 
capable de detecter les tentatives de fraudes de 
- f agon autonome et de prendre des mesures appropriees . 

5 Second exemple de* mise en oeuvre du procede 

selon 1' invention : modification de la carte SIM. 

Une modification de la carte SIM peut etre 
necessaire dans de nombreux cas . Par exemple en cas 

10 de detection par le reseau de tentatives de fraude, 
le reseau peut envoyer a la carte une commande de 
blocage temporaire ou permanent. Lors d'ajout ou de 
suppression de services, le procede de transmission 
securisee de donnees selon 1' invention permet de 

15 modifier les droits d'acces a des f ichiers • 
elementaires EF (Elementary Files) ou a des fichiers 
dedies DF (Dedicated Files) contenant par exemple des 
scripts de commande SIMToolkit ou jucombo. 

20 Troisieme exemple de mise en oeuvre du procede selon 
1 ' invention : modification urgente d'une cle. 

Les cartes SIM contiennent de nombreuses cles 
qui peuvent servir pour dif f ererites applications. Ces 

25 cles sont generalement memorisees dans la carte SIM 
lors de sa phase de personnalisation . En utilisant le 
procede de transmission selon 1' invention, et en 
memorisant dans la carte SIM une ou des cles de 
rechange, il suffit d' envoyer une commande de 

30 commutation de cle pour passer de 1 ' utilisation d'une 
cle compromise, c'est a dire rendue publique, a 
1 ' utilisation d'une cle de rechange toujours secrete. 

Bien que 1 ' invention ait ete decrite selon des 
35 realisations preferees en reference a un reseau de 
radiotelephonie entre un terminal radiotelephonique 
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mobile et le reseau fixe ciu reseau de 
radiotelephonie , le precede d ' authentif ication de 
1' invention peut etre mis en oeuvre dans un reseau de 
telecommunication relativement a deux entites 
5 quelconques qui dans laquelle la premiere entite 
authentif ie la seconde au moyen d'un mecanisme de 
challenge aleatoire / reponse signee. 
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RE VEND I CAT I ONS 

1 - Precede de transmission securisee de donnees 
(DATA) entre une premiere entite (MS) et une deuxieme 

5 entite (VLR, HLR, AUC) dans un reseau de 
telecommunication (RR) , comprenant une etape 
d' authentif ication de la premiere entite (MS) par la 
seconde entite (VLR, HLR, AUC) , ladite etape 
d' authentif ication comprenant des etapes (EG, EG 1 ) 

10 d'appliquer une cle (Ki) memorisee dans les premiere 
et deuxieme entites et un nombre aleatoire (NA) 
produit par la deuxieme entite et transmis par la 
deuxieme entite a la premiere entite a des 
algorithmes . identiques (AA) memorises dans les 

15 premiere et deuxieme entites, et comparer (E7) dans 
la deuxieme entite (VLR, HLR, AUC) une reponse (SRES) 
produite par l'algorithme (AA) memorise dans la 
_ premiere entite et transmise a la deuxieme entite et 
un resultat de reponse (RSRES) produit par 

20 l'algorithme (AA) memorise dans la deuxieme entite, 
caracterise par les etapes de : 

transmettre de la deuxieme entite a la premiere 
entite les donnees (DATA) avec le nombre aleatoire 
2 5 (NA) , appliquer les donnees (DATA) avec le nombre 

aleatoire (NA) a l'algorithme (AA) dans la premiere 
entite et dans la seconde entite. 

2 - Procede conforme a la revendication 1 . selon 
30 lequel le nombre aleatoire (NA) et les donnees (DATA) 

ont respectivement Q bits et P-Q bits de longueur, P 
etant un entier constant . 

3 - Procede conforme a la revendication 1 ou 2 
35 caracterise par une etape de chiffrement des donnees 
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(DATA) ou du couple forme par le nombre aleatoire 
(NA) et les donnees (DATA) . 

4 - Procede conforme a l'une des revendications 
5 precedent es, caracterise en ce qu'un moyen 

d 1 authentif ication et d 1 enregistrement d'identite de 
terminal (VLR, HLR, AUC) determine plusieurs triplets 
comprenant chac'un un nombre aleatoire (NA) les 
donnees (DATA) et un resultat de reponse (RSRES) 
10 correspondant au nombre aleatoire (NA) et aux donnees 
(DATA) . 

5 - Procede conforme a la revendication 4, 
comprenant une etape de determiner (E8) une cle de 

is chiffrement (Kc) en fonction du nombre aleatoire 
(NA) , des donnees (DATA) et de la cle (Ki) dans la 
seconde entite (VLR, HLR, AUC) . 

6 - Procede conforme a l'une des revendications 
20 4 ou 5, comprenant une etape de ne determiner (E10) 

une cle de chiffrement (Kc) en fonction du nombre 
aleatoire (NA) , des donnees (DATA) et de la cle (Ki) 
dans la premiere entite (MS) que lorsque la reponse 
(SRES) et le resultat de reponse (RSRES) compares 
25 sont identiques. 

7 - Procede selon l'une des revendications 
precedentes, caracterise en ce que les donnees (DATA) 
sont utilisees dans la premiere entite (MS) par une 

30 application de gestion de compte prepaye . 

8 - Procede selon l'une des revendications 
precedentes, caracterise en ce que les donnees (DATA) 
sont utilisees dans la premiere entite (MS) pour 

35 mettre a jour des droits d'acces a des fichiers (DF, 
EF) memorises dans la premiere entite. 
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9 - Procede selon l'une des revendications 
precedentes , caracterise en ce que une ou plusieurs 
cles additionnelles Ki # sont memorisees dans les 
5 premiere et deuxiemes entites, et en ce que les 
donnees (DATA) sont utilisees dans la premiere entite 
(MS) par une application pour activer une cle 
additionnelle (Ki') . 

10 10 - Module d'identite (SIM) dans une premiere 

entite (MS) caracterise en ce qu'il comprend des 
moyens (ROM, EEPROM) pour memoriser un algorithme 
(AA) et une cle (Ki) , des moyens pour recevoir un 
nombre aleatoire (NA) et des donnees (DATA) et des 

15 moyens (ROM, EEPROM, RAM) pour executer au. moins 
l'etape (E6) d'appliquer la cle (Ki) le nombre 
aleatoire (NA) et les donnees (DATA) a 1 ' algorithme 
- (AA) . 

20 11 - Centre d' authentif ication (AUC) dans un 

reseau de telecommunication (RR) caracterise en ce 
qu'il comprend des moyens pour memoriser un 
algorithme (AA) et une cle (Ki) , des moyens pour 
selectionner un nombre aleatoire (NA) et des donnees 

25 (DATA) et des moyens pour executer au moins l'etape 
(E6') d ! appliquer la cle (Ki) le nombre aleatoire 
(NA) et les donnees (DATA) a 1' algorithme (AA) . 
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